专题研讨 | 如何理解和规范LBS场景下“位置权限”的使用?
研讨背景
LBS(基于位置的服务)场景已成为各类智能终端、App等普遍支持的服务模式,业务功能获取位置信息(粗略/精准)和行踪轨迹等成为了常见做法,但其中不乏一些过度收集、使用不当等侵犯个人信息等问题。对此,用户关心、监管关注,企业如何在依法依规的前提下合理使用“位置信息”成为了数据合规工作的实务难点之一。
针对LBS场景下“位置权限”的使用”这个难点,CCIA数据安全工作委员会于近日组织各方专家进行了研讨。研讨过程中,与会专家从厘清基础概念、探索实践路径、提出安全建议等角度各抒己见。现就研讨中形成的主要观点以会议纪要方式公开,以供各界参考、指正。
参与此次研讨的专家来自:中国电子技术标准化研究院、中国网络安全审查技术与认证中心、中国信息通信研究院、公安部第一研究所、北京理工大学等研究机构,以及部分CCIA数据安全工作委员会委员单位。
以下观点仅代表专家个人观点。
本期研讨主题
如何理解和规范LBS场景下“位置权限”的使用?
研讨问题
研讨问题1:“位置信息”与“位置权限”的关系是什么?“位置权限”所指的具体范围是什么?“精准位置信息”与“粗略位置信息”的区分点在哪?
精彩观点如下:
☆ 应区分“位置信息”与“位置权限”。“位置权限”仅是获取位置信息的一种便利的方式;获取位置信息并非仅依靠使用“位置权限”,通过分析其他网络参数或设备信息也可获取不同精度的位置信息。
☆ “位置权限”是指必须经用户主动授权后,App才可获取精准位置信息(如经纬度等)的系统权限,其典型特征是用户可控制。“位置权限”开启后,App可能同时获取精准位置信息和粗略位置信息,也可能只获取了其中一类。部分移动智能终端操作系统还对两类信息分别设置相应的子权限,方便用户自主选择。
☆ 建议移动智能终端操作系统逐步将使用“位置权限”可以收集的具体信息类型进行统一,移动智能终端操作系统、App自身、以及App检测过程中如需统计或展示“位置权限”的使用频次时,宜对收集粗略位置信息和精准位置信息行为进行区分。
☆ 间接使用其他网络参数,如IP、SSID、BSSID、CellID等,进行推断形成的信息通常是粗略位置信息。粗略位置信息不能直接反映个人特征,也不宜用于分析个人特征。但如将具有唯一特性的网络参数(如BSSID)与其他数据库相匹配,从而得出精准位置信息的,该网络参数仍可能构成精准位置信息的一部分。
☆ 建议根据依据“最少必要”原则,依据不同业务功能获取不同精度的位置信息(如国家、省级、市级、10km范围、1km范围等),以实现服务智能化和收集个人信息最小化两者间的平衡,避免只要服务涉及“位置信息”就要向用户申请“位置权限”。
研讨问题2:为完成服务或履行合同等所需,使用“位置权限”的必要性如何看待?精彩观点如下:
☆ 在基于“位置权限”提供服务的场景下,用户也可以拒绝开启“位置权限”和随时关闭“位置权限”,不能因“位置权限”不可用而拒绝提供基本服务,同时,对于产生的影响可向用户进行告知(如降低一定的服务体验、降低风控能力等。)。
☆ 用户开启“位置权限”,除为了使用服务主动表示“同意”以外,还可能是基于配合履行法定义务、履行合同所必需等情形。
☆ 通过使用“位置权限”收集或通过其他网络参数推断形成的粗略位置信息,也可能用于履行法定义务、履行合同、安全风控等目的。
☆ 通常,App因用户拒绝开启或关闭“位置权限”而无法被收集到的位置信息,应当与移动智能终端操作系统所界定的“位置权限”下的位置信息范围相一致。
研讨问题3:“位置权限”的申请、使用时机如何在合规与用户体验中取得平衡?精彩观点如下:
☆ 权限的申请时机是否合理,根本出发点是:一是是否在有服务用户的具体场景时触发,二是是否为用户提供了便利(而不是企业的方便)。
☆ App的基本业务功能需要使用精确地理位置信息的,如地图导航、网络约车、用车服务等,可在用户首次使用(如首次打开App)时就申请权限。
☆ 使用精确地理位置能极大提升业务功能的服务效率和用户体验的,如餐饮外卖、酒店服务、本地生活、房屋租售等,可在用户首次使用时(如首次打开App)就申请“位置权限”。如用户拒绝,还应继续提供服务;如用户同意开启的,也仍需触发实际应用场景才能实际使用该权限。
☆ 如多个业务场景均会使用“位置权限”的,可在用户首次触发申请权限时,向用户告知可能会使用权限的多个目的,并取得用户同意。后续权限的使用需与告知目的相一致。
☆ 通常,App对于权限目的告知的弹窗需依赖系统是否弹窗来触发,如果“位置权限”被用户在移动智能终端操作系统中自行打开,则可能导致弹窗告知失灵,但用户自行打开权限可被视为已知晓该权限的使用目的并主动做出了授权。
☆ 移动智能终端预装的App(可卸载或不可卸载)在用户未主动选择同意前,不应默认开启“位置权限”。
研讨问题4:本地使用“位置权限”的场景有哪些?非本地化使用“位置权限”的注意点有哪些?精彩观点如下:
☆ 因App展示的内容更新很快(如地图的标注信息和拥堵状态、商家的经营状态、酒店价格等),如将所有内容缓存至终端后利用本地处理来提供LBS服务,服务效率会大大降低,且对用户手机容量和网络流量消耗较大,因此,本地使用“位置权限”的实际场景很少。
☆ 建议App完成当次服务后,可将上传到服务器端的精准位置信息删除或进行匿名化、去标识化处理。
研讨问题5:应用程序被从主屏幕切换至后台后,使用“位置权限”是否有合理的业务场景?使用“位置权限”的最低频次该如何界定?精彩观点如下:
☆ 涉及导航、运动健身(记录运动路径)、位置共享、服务人员(骑手、司机等)跟踪、共享出行(行踪记录)等合理情形,App可在用户从主屏幕切换至后台后继续使用“位置权限”,但上述场景需在隐私政策等文件中特别强调,确保用户知情。
☆ 对于使用“位置权限”的频次,建议参考国家标准《信息安全技术 移动互联网应用程序(App)个人信息安全测评规范》(送审稿)中附录D的内容,具体包括:
场景 | 参考频次/时机 | 备注 |
地图导航、位置追踪等实时定位场景 | 持续读取(约每秒1次) | 例如户外开阔地带,设备GPS定位成功后。 |
展示、推荐周边可用服务等场景 | 周期性读取(约每30秒1次) | 例如展示附近的酒店、餐厅等场景。 |
用户主动识别当前位置等场景 | 一次性读取(进入功能界面时读取1次或者用户主动刷新时读取1次) | 例如用户定位当前位置用于填写地址,定位当前位置查看天气等场景。 |
注:具体场景下频次或时机还需在隐私政策等规则中说明。
☆ 用户拒绝开启或关闭“位置权限”后,App或其中嵌入的第三方代码、插件(如SDK)仍申请使用“位置权限”的,即试图获取位置信息失败的行为,不宜被计入APP使用“位置权限”的频次中(移动智能终端操作系统记录的,宜区分展示调用失败的情形或对记录的原理详细说明)。
☆ App及其中嵌入的第三方代码、插件等应优化代码方案,使用简便机制获知“位置权限”授权状态,特别是在“位置权限”已关闭时应避免再频繁尝试使用“位置权限”。
研讨问题6:使用“位置权限”收集的数据达到何种条件可能构成“行踪轨迹”?精彩观点如下:
☆ “行踪轨迹”通常包含时间、起止地点、路线等要素,其中路线可能是通过其他方式推断得出(如通过车票、订单、多个位置信息)。
☆ 出于特定业务目的将一段时间内个人精准位置信息关联起来形成的信息,可能构成“行踪轨迹”,但该信息无法用于判断个人当前位置;“行踪轨迹”的形成需基于真实的地理位置,通过间接推断得出的粗略地理位置不宜构成行踪轨迹的一部分。
☆ 对于个人的单个活动,如果仅记录精准位置信息,未记录对应时间、起止地点的,则无法构成“行踪轨迹”。
☆ 用户使用服务过程中,应用程序收集、使用了精准位置信息,但并未留存、关联分析的,则无法构成“行踪轨迹”。
☆ 将个人多个活动的前后次序、精准位置信息进行叠加分析,有可能获取“行踪轨迹”。
CCIA数据安全工作委员会持续欢迎大家参与以上具体问题的研讨,通过观点交汇、碰撞,为推动深入研究难点问题、启发安全保护措施创新贡献一份微薄之力。
下期“专题研讨”预告
研讨主题:如何理解和规范App接入的各类第三方服务(如SDK、服务页面/接口等)处理个人信息的情形?
(记录整理:CCIA数据安全工作委员会)